История изменений
Исправление BaBL, (текущая версия) :
Если говорить про ИБ - первым делом надо уходить от Ruby. У них периодически появляются критические уязвимости, которые далеко не сразу латаются.
А в общем случае:
iptables - закрыть все кроме нужного (22, 80, 443).
FTP - убрать как класс.
fail2ban - но грамотно, чтобы себя не подставить (читайте, граблей много).
WAF - к примеру, nginx-naxsi.
Для www используй chroot, как минимум (а еще лучше - vz контейнер), ограничь www юзеру все что только можно, php - аналогично, вплоть до open base dir и блокировки функций eval, system и т.д.
Для обновления используй какой-нибудь деплой, к примеру через git. Это позволит проверить изменившиеся файлы. Само их появление должно вызвать подозрения.
Туда же конфиги всех сервисов. Я раньше делал md5sums всех файлов сервера, спасало пару раз. Многие руткиты подменяют стандартные утилиты ls, attr, top так, чтобы те их не показывали.
Против DDOS довольно эффективны услуги на базе CDN (айри, cloudflare, qrator)
Ну и далее, смотри логи, реагируй, регулярно проверяйся aibolit
Исходная версия BaBL, :
Если говорить про ИБ - первым делом надо уходить от Ruby. У них периодически появляются критические уязвимости, которые далеко не сразу латаются.
А в общем случае:
iptables - закрыть все кроме нужного (22, 80, 443).
FTP - убрать как класс.
fail2ban - но грамотно, чтобы себя не подставить (читайте, граблей много).
WAF - к примеру, nginx-naxsi.
Для www используй chroot, как минимум (а еще лучше - vz контейнер), ограничь www юзеру все что только можно, php - аналогично, вплоть до open base dir и блокировки функций eval, system и т.д.
Для обновления используй какой-нибудь деплой, к примеру через git. Это позволит проверить изменившиеся файлы. Само их появление должно вызвать подозрения.
Против DDOS довольно эффективны услуги на базе CDN (айри, cloudflare, qrator)
Ну и далее, смотри логи, реагируй, регулярно проверяйся aibolit